Funfact Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в биткоинах, чтобы получить программу и ключ для дешифрования, и вернуть файлы. Название от повторяющейся части логина почты вымогателей. Фальш-имя: Mcrosoft 0fflce.
Обнаружения:
DrWeb -> Trojan.DownLoader23.54844
BitDefender -> Gen:Variant.Razy.123300
ALYac -> Trojan.Ransom.Funfact
Avira (no cloud) -> TR/VB.Downloader.Gen
ESET-NOD32 -> Win32/Filecoder.NJL
Kaspersky -> Trojan-Ransom.Win32.Gen.cit
Symantec -> Trojan.Gen, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Gen.Ozsd
TrendMicro -> Ransom_CRYPFUN.A
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .cry
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: note.ini
Содержание записки о выкупе:
Important Information!!!!
You had bad luck. All your files are encrypted with RSA and AES ciphers. to get your files back read carefully. if you do not understand, Read again. All your documents are recoverable only with our software and key file.
To decrypt files you need to contact worldfunfact@sigaint.org or funfacts11@tutanota.com and set your ID as email title and send clsign.dll file from your computer. That is the key file and yes, it’s encrypted. Search your computer for filename “clsign.dll” attach it to email. if you wish we will decrypt one of your encrypted file for free! It’s your guarantee. After you made payment you will receive decryption software with key and necessary instructions. if you don’t contact us within 72 hours we will turn on sanctions. you’ll have to pay more. Recovery is only possible during 7 days. after that don’t contact us.
Remember you are just single payment away from all your files
If your files are urgent pay exactly requested amount to Bitcoin(BTC) address and send clsign.dll file to us. We will send your decryption software within 24 hours; remember if you contact us first maybe you’ll have to pay less.
User ID: 658061***
BTC Address: 1AQrj***
Amount(BTC): 1.65806
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
*******************************
-----END PGP PUBLIC KEY BLOCK-----
Перевод записки на русский язык:
Важная информация !!!! Вам не везло. Все ваши файлы зашифрованы с помощью RSA и AES шифров. Чтобы получить файлы обратно, внимательно прочитайте. Если вы не понимаете, читайте снова. Все ваши документы могут быть восстановлены только с нашей программой и файлом-ключом.
Для расшифровки файлов вам нужно связаться с worldfunfact@sigaint.org или funfacts11@tutanota.com и написать свой ID в заголовка email-письма и отправить файл clsign.dll с вашего компьютера. Это ключевой файл и да, он зашифрован. Найдите на компьютере файл "clsign.dll" и прикрепите его к email-письму. Если хотите, мы расшифруем один из ваших зашифрованных файлов бесплатно! Это ваша гарантия. После того, как вы сделали оплату, вы получите программу для дешифрования с ключом и необходимыми инструкциями. Если вы не обратитесь к нам в течение 72 часов мы включим санкции. Вам придется платить больше. Восстановление возможно только в течение 7 дней. После этого с нами уже не свяжитесь.
Помните, у вас только один платеж для всех ваших файлов.
Если ваши файлы нужны срочно, платите точную сумму на биткоин-адрес (BTC) и отправьте нам файл clsign.dll. Мы направим вашу программу дешифрования в течение 24 часов; помните, если вы обратитесь к нам в первую очередь, может быть, вы будете платить меньше.
User ID: 658061***
BTC Address: 1AQrj***
Amount(BTC): 1.65806
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
*******************************
-----END PGP PUBLIC KEY BLOCK-----
Считывает информацию о поддерживаемых языках системы. Проверяет IP компьютера.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.7z, .ace, .arj,. bz2, .cab, .gz, .jpeg, .jpg, .lha, .lzh, .mp3, .rar, .taz, .tgz, .z, .zip (16 расширений).
Это архивы, фотографии, музыка и пр.
Файлы, связанные с этим Ransomware:
word.D.exe (фальш-имя: Mcrosoft 0fflce)
note.ini
clsign.dll
trc.dll
tst.tst
rar.exe
wallet.jpg (QR code)
%TEMP%\<random>.tmp - например: Cab393F.tmp, Tar3940.tmp
%LOCALAPPDATA%\ow\Microsoft\CryptnetUrlCache\MetaData\<random> - например:
CC42971B7939A9CA55C44CFC893D7C1D
5457A8CE4B2A7499F8299A013B6E1C7C_CE50F893881D43DC0C815E4D80FAF2B4
5080DC7A65DB6A5960ECD874088F3328_6CBA2C06D5985DD95AE59AF8FC7C6220
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
whatismyip.net (23.239.26.248:80)
***ocsp.usertrust.com
***ocsp.comodoca.com
***crl.comodoca.com
funfacts11@tutanota.com
worldfunfact@sigaint.org
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as FunFact) Video review
Thanks: Karsten Hahn, Michael Gillespie, GrujaRS Andrew Ivanov (author)
© Amigo-A (Andrew Ivanov): All blog articles.
